Mit WordPress Hardening sichern Sie Ihre Webseite gegen Hackerangriffe und Malware.
Die meisten Hacker machen sich nicht die Mühe, schwer zu überwindende Sicherheitssysteme zu überlisten und Webseiten zu hacken, die gut geschützt sind. Oft sind es eine Vielzahl von Angriffen auf nicht ausreichend geschützte Seiten, mit denen sie Erfolg haben. Das größte Sicherheitsrisiko stellt also keineswegs eine weitreichende Bekanntheit einer Webseite dar, sondern nach wie vor ein unzureichender Schutz. Hier lesen Sie, wie Sie mit Hilfe von WordPress Hardening Ihre Webseite gegen Angriffe absichern.
Was bedeutet Sicherheit überhaupt?
Die schlechte Nachricht überbringen wir Ihnen gleich vorweg: Keine Webseite ist völlig sicher. Es ist schlichtweg unmöglich, sie vor jeglichen Angriffen zu bewahren. Beim WordPress Hardening geht es also nicht um die vollständige Eliminierung von Gefahren, sondern um ihre Reduzierung.
Hacker, Malware und Bots finden ständig neue Wege und Strategien, wie ein Sicherheitssystem überlistet und eine Webseite gehackt und infiziert werden kann. Es gilt also, die Muster der gängigsten Angriffe zu erkennen und die eigene Webseite vor ihnen zu schützen. Gute Firewalls werden zum Beispiel ständig weiterentwickelt und an die neuesten Erkenntnisse angepasst.
WordPress Hardening – wie können Sie Ihre Webseite sichern?
Bevor Sie Änderungen an Ihrer Webseite vornehmen, sollten Sie zunächst ein Backup erstellen. Auf diese Weise können Sie bei Bedarf die dort gespeicherte Version einfach wiederherstellen.
Starke Passwörter
Das Verwenden starker Passwörter bildet die Basis einer sicheren Webseite – dies sollte jedem Betreiber bereits bewusst sein. Trotzdem gibt es nach wie vor eine Vielzahl von Webseiten, die aus verschiedenen Gründen zu schwachen Passwörtern greifen: Sie sind einfacher zu merken oder schon seit Jahren in Gebrauch (und noch nie ist etwas passiert!).
Passwörter sollen aber gerade nicht leicht zu merken sein. Dies erhöht die Chance, dass sie nicht einfach überwunden werden können. Auch die wiederholte Nutzung des gleichen Passworts verbietet sich zugunsten eines starken Schutzes. Sobald Angreifer dies einmal herausgefunden haben, haben sie plötzlich Zugriff auf unzählige Konten und Accounts.
Die gute Nachricht ist: Den größten Teil der Arbeit nehmen Passwortmanager ab. So schlägt zum Beispiel Google vor, für neue Accounts ein starkes Passwort zu generieren. Dies erfüllt automatisch höchste Sicherheitsstandards und kommt ohne den Namen Ihres Haustieres aus. Sobald Sie das Passwort nutzen, wird es automatisch in Ihrem Google-Konto hinterlegt. Beim nächsten Anmeldevorgang fügt Google es automatisch ein und Sie können innerhalb weniger Sekunden auf Ihren Account zugreifen.
SSL-Verschlüsselung
Auch die SSL-Verschlüsselung gehört längst zum Standardschutz der meisten Webseiten. Sie ermöglicht einen sicheren Transfer von Daten zwischen der Webseite und ihren Besuchern. Hat eine Webseite noch keine SSL-Verschlüsselung, wird dies deutlich sichtbar von Google in den Suchergebnissen angezeigt: Eine rote Meldung mit dem Hinweis “nicht sicher” erscheint und der Link enthält lediglich “http” anstelle von “https”.
Die SSL-Verschlüsselung ist mittlerweile so einfach wie nie. Zahlreiche Anleitungen leiten Schritt für Schritt durch den Prozess. Wer ihn lieber ganz automatisieren möchte, kann dafür auf eines der vielen verfügbaren WordPress Plugins zurückgreifen.
Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung sichert eine der größten Schwachstellen moderner Webseiten ab – den Login. Hacker können hier mit Hilfe von Bots und der sogenannten “brute force attack” die Logindaten herausfinden und sich Zugriff auf die Webseite verschaffen. Auch geleakte Passwörter von anderen Webseiten können sie hierfür nutzen (siehe Punkt eins – niemals das gleiche Passwort zweimal benutzen!).
Mit der Zwei-Faktor-Authentifizierung wird ein weiterer Schritt in den Login-Vorgang eingebaut, der die Sicherheit erhöht. Hier müssen nicht nur der Username und das Passwort eingegeben werden, sondern auch ein individueller Code, der für jeden Login neu generiert wird. Er wird auf das Smartphone des Nutzers gesendet und ist somit nur für ihn sichtbar. Nach der einmaligen Verwendung des Codes ist er verbraucht und kann beim nächsten Mal nicht mehr verwendet werden. Auch nach einer gewissen Zeit kann der Code aus Sicherheitsgründen nicht mehr genutzt werden.
Benachrichtigungen bei verdächtigen Logins
Diverse Plugins benachrichtigen die Administratoren einer Webseite, wenn ein verdächtiger Login oder ungewöhnliche Aktivitäten wahrgenommen wurden. Dazu zählen zum Beispiel Logins aus anderen Kontinenten, die Änderung von Bankdaten, usw. Viele Plugins benachrichtigen WordPress-Nutzer über jeden neuen Login, der von einem bisher unbekannten Gerät vorgenommen wurde.
Automatischer Logout
Den automatischen Logout nutzen vornehmlich Webseiten und Apps von Banken. Er kann mit verschiedenen Plugins aber auch für jede WordPress-Webseite installiert werden und ist insbesondere dann sinnvoll, wenn die verwendeten Endgeräte mit anderen Menschen geteilt werden.
Web Application Firewall
Die Web Application Firewall schützt Webanwendungen, indem sie die IP-Adresse eines Geräts auf vergangene Hackerangriffe überprüft. Werden schädliche Aktivitäten festgestellt, wird die IP-Adresse geblockt und kann nicht einmal auf Ihre Webseite zugreifen.
Zugriffsberechtigungen – WordPress Hardening
Sobald eine Webseite nicht nur aus privaten Gründen oder als Einzelunternehmer genutzt wird, haben mit großer Wahrscheinlichkeit mehrere Menschen darauf Zugriff. Je nach der Größe des Unternehmens können dies eine Hand voll oder mehrere hundert Accounts sein. Sie können sich eigenständig einloggen und – je nach der eingerichteten Berechtigung – Einstellungen ändern, neue Unterseiten und Posts erstellen, etc.
Die Konten mit Zugriffsberechtigung unterliegen unterschiedlichen Regelungen. Der Administrator hat zum Beispiel vollen Zugriff auf alle Bereiche und kann umfassende Änderungen vornehmen. Einige Betreiber neigen dazu, der Einfachheit halber nahezu allen Mitarbeitern eine Administratorenstellung einzuräumen, obwohl dies in vielen Fällen gar nicht notwendig wäre. Dadurch wird die Webseite einem hohen Sicherheitsrisiko ausgesetzt, das einfach verringert werden könnte.
Bevor Sie einer neuen Person Zugriff auf Ihre Webseite gewähren, sollten sie daher zunächst erörtern, welche Befugnisse sie tatsächlich benötigt. Dies erfordert zwar einmalig mehr Aufwand und kann Anpassungen in der Zukunft notwendig machen. Das Sicherheitsrisiko wird dadurch aber erheblich reduziert.
Plugins aus vertrauenswürdigen Quellen
Plugins bieten WordPress-Nutzern zahlreiche Vorteile. Mit Ihnen können Sie nicht nur neue Funktionen freischalten und das volle Potenzial Ihrer Webseite ausschöpfen, sondern auch Firewalls und ähnliche Schutzvorkehrungen im Handumdrehen installieren und aktivieren. Dies verkehrt sich in das Gegenteil, wenn das Plugin selbst aus einer nicht vertrauenswürdigen Quelle kommt und zum Beispiel mit Malware infiziert ist. In dem Fall wird es selbst zu einer Gefahr für die Webseite.
Prüfen Sie im Rahmen des WordPress Hardening deshalb genau, aus welcher Quelle das Plugin kommt, das Sie installieren möchten. Einen Hinweis können die Bewertungen für das Plugin geben: Können Sie – im besten Fall mehrere Tausend – gute Bewertungen sehen, ist dies ein gutes Zeichen. Auch eine kurze Google-Suche zeigt, ob WordPress-Experten das Plugin bereits getestet und für gut befunden haben.
Sicheres Endgerät – WordPress Hardening
Im Rahmen des WordPress Hardening können Sie noch so viele Schutzvorkehrungen treffen – wenn Sie auf Ihre Webseite mit einem Computer zugreifen, der selbst bereits infiziert ist, sind sie nutzlos. Stellen Sie also bereits vor dem ersten Zugriff auf Ihre Webseite sicher, dass Ihr Endgerät frei von Viren, Spyware und Malware ist. Besuchen Sie mit ihm lediglich vertrauenswürdige Webseiten und tätigen Sie keine Downloads aus fragwürdigen Quellen. Installieren Sie auf Ihrem Computer ein Antivirenprogramm, das ihn auch in Zukunft vor Malware schützt.
Sicheres Netzwerk
Schließlich können Gefahren für Ihre Webseite in dem von Ihnen verwendeten Netzwerk lauern. Sofern Sie Ihr heimisches WLAN nutzen, ist die Gefahr zwar gering. Anders sieht dies aber aus, wenn Sie von einem Internetcafé aus auf Ihre Webseite zugreifen. Geben Sie hier Passwörter und andere sensible Daten ein, stellt dies ein Sicherheitsrisiko dar. Hier helfen potente Firewalls und die Nutzung einer VPN-Verbindung. Schließlich sollten Sie Ihr Gerät hier niemals unbeobachtet lassen. Auch ein sicheres Netzwerk schützt Sie nicht davor, dass Fremde die Gelegenheit nutzen, um an persönliche Informationen und sensible Daten von Ihnen zu gelangen.